「AWSセキュリティインシデント疑似体験調査ワークショップ」から考えるSIEMの効果的な活用について
1.はじめに
近年、サイバー攻撃の高度化、巧妙化を背景に、新たなセキュリティソリューションであるSIEM(Security Information and Event Management)が注目を集めています。TISもこの重要性を理解し、当社決済ソリューションブランドである「PAYCIERGE(ペイシェルジュ)」においてSIEMの導入を実現しました。しかし、実際にSIEMを運用するフェーズにおいて以下のような課題に直面していました。
- SIEMの利用が限定された定型的な運用での活用に留まり、SIEMの価値最大化ができていない。
- 開発・保守・運用など、複数のチームで構成されるPAYCIERGE基盤チームのメンバー全員がSIEMを使いこなせていない。
そこで、SIEMの効果的な活用方法を理解し、実践するためのワークショップをアマゾン ウェブ サービス ジャパン合同会社・TISの間で開催しました。
本記事では、ワークショップで得た学びをもとに、既にSIEMを活用している方々や今後導入を検討されている方々に向けて、SIEMを効果的に活用できるようになるためのヒントを提供します。
2.ワークショップ概要
ワークショップでは、アマゾン ウェブ サービス(AWS) 環境上に典型的なセキュリティインシデントを再現したログを作成し、チーム対抗のクイズ形式で調査を行います。
| 開催日時 | 2023 年 7 月 26 日(水)13:00 - 17:00 |
|---|---|
| 対象となる方 |
|
| ゴール |
|
| 使用ツール |
|
3.ワークショップ内容
ワークショップの内容はチーム単位でセキュリティインシデントに関連するミッション(クイズ)をクリアしていくといったものです。
クイズに正解するとポイントを獲得でき、不正解の場合はポイントの1%が減点される仕組みです。最終的に、多くのポイントを獲得したチームが優勝となります。参加者はヒントを得ることも可能で、クイズバトルのような緊張感と楽しさが満喫できました。
ミッションは「Level 0」「Level 1」「Level 2」とあり、種類と難易度は以下の通りです。
Level 0:AWSのセキュリティに関する雑学問題
Level 1:インシデント調査問題(初中級)
Level 2:インシデント調査問題(上級)
なお、参照できるのはOpenSearchに取り込まれたログのみで、AWS マネジメントコンソールでログを確認することはできません。
※問題の詳細はワークショップのネタバレになってしまうため、本記事では割愛させていただきます。
4.ワークショップ実施効果
続いて、今回ワークショップを通じて感じた実施効果は大きく4点ありました。
4.1 ログ分析に重要な3つのテクニックを理解・習得できた
ワークショップではログ分析をする上で重要なテクニックが以下3つ紹介されていました。
- ログの抽出(時間や送信元IPアドレスなどの情報からログを抽出することを指す。)
- ログの除外(リスクのない、もしくは少ないログを除外することを指す。)
- 複数ログ種類との相関分析
我々のチームでは、複数のソリューションアカウントを運用しており、大量のログデータがあるため上記3点をOpenSearch Dashboard上で実施するためのテクニックが学べたのは非常に有益でした。
ただし、ログの抽出・除外において、正しいアクセスを判断するためには、事前にリソースの情報を知っておく必要があります。例えば、アクセス元のIP範囲やリソースIDなどです。不正なアクセスを見つけるには、正常なアクセスが何かを理解していることが不可欠です。セキュリティインシデントは突発的に起こることがあるため、常に必要な情報にアクセスできるように準備しておくことが重要だと感じました。
4.2 相関分析がどういったものなのかを体系的に学ぶことができた
これまでは、1種類のログをピンポイントで分析し、目的を達成することがSIEMの主な使い方となっていました。
しかし今回のワークショップでは、インシデントを分析するにあたり、Amazon GuardDutyやAWS CloudTrail、VPCフローログといった複数のセキュリティログを活用したログの相関分析を体験することができました。
ハンズオンを通じて、ログの相関分析の具体的な方法や分析の際のポイントを理解するとともに、ログの相関分析をすることにより、新たな発見が可能になることを実感できました。
4.3 一般的なセキュリティ知識の重要性を理解できた
ログを集約し相関分析できる環境が整っても、実際に何が問題であり、どのような状況が危険なのか理解できなければ、SIEMソリューションの有効活用することは難しいです。
今回ワークショップを通じて、当たり前ではありますが一般的なセキュリティの知識が欠かせないことを再認識しました。
4.4 追加で集約するログの選定ができた
SIEMの進化において、新たなログソースを統合することでセキュリティ情報の豊富さを確保できます。これにより、より広範な攻撃を検知できる可能性があります。インシデント調査において、根本原因と被害範囲の調査のためには、幅広くログを収集する必要があります。
我々のチームでは、数十のAWSアカウントを運用しており、ログの集約に伴う作業工数がかさむということから、従来は集約対象ログを数種類に限定していました。
しかしインシデント調査において、根本原因と被害範囲の調査のためには、幅広くログを収集する必要があることは理解していたため、どういったログを優先的に対応するのがよいかを検討しておりました。そんな中、今回のワークショップを通じてアクセスログ等の業務ログが相関分析に大いに役立つことが理解でき、今後我々のチームで可視化対応するログの優先順位付けができたのは非常に有益であったと感じています。
4.5 ワークショップ実施効果まとめ
1項でも記載した通り、今回我々は以下2点の課題をもって、本ワークショップに臨みました。
- SIEMの利用が限定された定型的な運用での活用に留まり、SIEMの価値最大化ができていない。
- 開発・保守・運用など、複数のチームで構成されるPAYCIERGE基盤チームのメンバー全員がSIEMを使いこなせていない
まず、①については4.1項4.2項でも記載した通り、SIEMを用いた効果的なログ分析手法について学ぶことができたので、今後業務でのログ分析時に実践していきます。
また②については、今回我々のチームから10名程度のメンバーが参加し、ログ分析ハンズオンが実施できたことで多くのメンバーのSIEMに対する習熟度の向上を実現することができました。さらには「発見的統制の重要性」について、ワークショップを通じて理解できたという声も多くありました。このことからSIEMソリューションの重要性をチームメンバーの多くが理解し、今後の業務で大いに活用してくれるのではないかと感じています。
一方で、今回学んだ分析手法を実務の中で活かせるようになるためには、日ごろからチームメンバー1人1人がSIEMを活用した分析を実施していることも重要な要素ではないかと感じました。本課題の対策については6項「今後のSIEM活用について」にて深堀って記載します。
5.SIEM on Amazon OpenSearch Serviceについて
今回のワークショップでは「SIEM on Amazon OpenSearch Service」を使用しました。「SIEM on Amazon OpenSearch Service」はAWSの公式ソリューションでもあり、オープンソースソフトウェアとして公開されているので、誰でもテンプレートを参考にして構築することができます。
特徴
- マネージドサービスとサーバーレスのみで構成
- マルチアカウント・マルチリージョン対応
- AWS サービス専用の正規化、ダッシュボード
- 脅威インテリジェンスによるログのエンリッチメント
- Amazon Security LakeやAWS Control Towerとの連携
- AWS CloudFormation/AWS CDK によるデプロイ。約 30 分で完了(https://github.com/aws-samples/siem-on-amazon-opensearch-service)
興味のある方は、ぜひ試してみてください。
6.今後のSIEM活用について
4章に記載した様々な学びを受けて今後PAYCIERGEでどのようにSIEM活用を行っていくかを説明いたします。今後に向けてはSIEMの機能面・運用面の2つ観点に分けて課題を設定しそれぞれについて対応していきます。
6.1 SIEMの機能面での課題対応について
まずは機能面についてです。直近以下2点の対応を行っております。
①追加のログ集約とそれらに対する可視化・ダッシュボードの充実
②SIEM対応によって集約されたログを活用した脅威検出
それでは各対応について詳しく記載していきます。
6.1.1 追加のログ集約とそれらに対する可視化・ダッシュボードの充実
SIEMの進化において、新たなログソースを統合することでセキュリティ情報の豊富さを確保でき、より広範な攻撃を検知することが可能になります。
4.4でも記載した通り、追加で集約するログの選定ができたため、今後はこの情報をもとにログ追加集約・可視化を進めてまいります。
また、現状我々のチームでは、SIEM on Amazon OpenSearch Serviceで提供されるダッシュボードを活用してログの分析を行っています。これには十分なビジュアライゼーションが備わっていますが、セキュリティ分析者がより素早くかつ効果的な意思決定を行うために、以下の2点に焦点を当てて取り組みます。
まず1点目として、我々が提供する基盤システムに特化した可視化項目を充実させます。これにより、具体的なシステム特有の情報をセキュリティ分析者が迅速に把握できるようになります。
そして2点目として、PCI DSSに準拠した運用を円滑に進めるためのダッシュボードを用意します。セキュリティの観点から必要な情報をクリアに表示し、視認性を高めることで、コンプライアンス要件を効率的に満たすことを目指します。これにより、セキュリティ分析者はより迅速かつ効果的に作業を進め、セキュリティの高度な管理を実現できるようになると考えています。
6.1.2 SIEM対応によって集約されたログを活用した脅威検出
我々のチームでは現在、数十のAWSアカウントを運用しています。各アカウントから集約されたログ情報を元に、新たな脅威検出メカニズムを構築し、脅威検出から分析までの流れをセキュリティ運用に組み込むことでさらなるセキュリティ向上実現を目指したいと考えています。
我々が現在実装を進めている具体的な対応の一例として以下のようなものがあります。
| No | 対応内容 | 目的 | 具体的な内容 |
|---|---|---|---|
| 1 | 特定の操作をトリガーにしたアラート通知 | 計画されていないログインやアクション履歴などがあった場合に検知し、インシデントの早期発見・被害の最小化に役立てる。 | AWS CloudTrailのログをモニタリングして、Delete系のイベントが発生した際に通知。通知内容の詳細はSIEMダッシュボードを活用して調査。 |
| 2 | AWS CloudTrailのログをモニタリングして、本番環境でAdmin権限を有するユーザが利用された際に通知。 | ||
| 3 | AWS Security Hubから出た新しいFindingsの効率的なチェック | セキュリティの潜在的な脅威を継続的に検知し、さらなるセキュリティ向上に役立てるため。 | 新しく追加されたFindings(ステータス:NEW)を検知してアラート通知、運用担当者が内容確認後にFindingsのステータスを通知済み(ステータス:NOTIFED)に更新するためのフローを構築。 |
| 4 | 機密データ(カード番号等)の自動検出 | 高度な機械学習を活用してデータの機密性を保護し、信頼性とセキュリティを一層向上させるため。 | Amazon Macieのマネージドルールを活用して、カード番号の自動検出を実現。 社用チャットへの通知と、SIEMダッシュボードでの検出情報の詳細や各種ログとの相関分析を実現。 |
上表それぞれの項目について、対応に向けた具体的な構成検討していますが、今回はNo4「機密データ(カード番号等)の自動検出」に関して、深堀して現在検討している内容を記載します。
まず「1.はじめに」でも記載した通り、我々のチームは「PAYCIERGE」という決済ソリューションブランドを提供しています。決済を取り扱うにあたりセキュリティは最優先事項であり、我々の環境は長年に亘りPCI DSSなど複数のセキュリティ基準に適合するなど安全な運用環境を維持しています。
今後さらにPAYCIERGEの基盤環境のセキュリティ向上を効率的に推進し、お客様に安全にご利用頂くにあたって、Amazon Macieが有用であると考えています。Amazon Macieは、高度な機械学習を活用してデータの機密性を保護し、機密情報の特定や不正アクセスの検知をサポートします。これにより、当社はより効率的に機密データの厳格な管理を強化し、サービス提供の信頼性とセキュリティを一層向上させることを目指します。
そこで具体的には以下の構成でアラート機能構築を検討しております。
Amazon Macieの検知情報に関しては、AWS Security Hubと統合することで、集約アカウントに収集します。収集された検知情報の中で通知したい内容は、Amazon EventBridgeで検知され、AWS Lambdaが起動します。AWS Lambdaを活用して、teamsに必要最小限の情報が通知されます。
通知を受けた運用担当者は、SIEM on Amazon OpenSearch Serviceダッシュボードから対象Macie の Findingsの調査や、その他のログとの相関分析を実施することができ、機密データの保護に対して迅速かつ効果的な対応を行うことが可能となります。
6.2 SIEMの運用面での課題対応について
続いて運用面についてです。こちらについては以下課題を設定し、取り組んでいこうと考えています。
- SIEMを普段の開発・保守・運用業務の中で活用できる環境づくり
では、まずなぜ上記の課題を設定しているのかについてです。
今回ワークショップを参加してみて、様々な分析手法を学ぶことができました。しかし4.5項でも記載した通り、これらの手法は日ごろからSIEMを活用した分析を実施していないと、有事の際に活かすことが難しいと感じました。そこで上記のような課題を設定し、日常的にチームメンバーがSIEMを活用する環境づくりに取り組んでいこうと考えています。
具体的には6.1.1項にも記載している通り、脅威検知の仕組みを充実させて、検知後の分析をSIEMで実施できるような運用の仕組みを確立します。加えて、開発メンバーがシステム開発時にもSIEMを利用できるようなフローを検討しています。
例えば、我々はシステム単位にAWSアカウントを分離しており、新規システム開発でIAM権限について検討する際に、すでに運用を開始している類似システムで実施に利用されているIAM権限として何があるのかを確認したいという場面があります。そこで各AWS IAM Roleに対して、指定期間にどんなアクションが何件発生しているかがわかるようなSIEMダッシュボードを構築することで、開発担当者もSIEMに触れる機会を得ることができます。
こういった工夫等も行いながら、開発・保守・運用担当者それぞれがSIEMを日常的に利用することが当たり前と感じる組織風土を作ることにより、SIEMを用いたセキュリティ高度化を実現すべく対応を進めています。
6.3 今後のSIEM活用まとめ
改めてですが、我々は「機能面」「運用面」それぞれの課題対応をすることで以下を実現したいと考えています。
■機能面
→セキュリティ情報の充実化・可視性向上・検知の仕組みの確立により、サービス全体のセキュリティ向上
■運用面
→SIEMを普段の業務から活用する環境を整え、実際に利用してもらうことで各メンバーが有事の際、スムーズに分析できるようにする
これらを実現することで、より効果的なSIEMの活用を促進し、我々の提供するサービス全体のセキュリティをさらに向上させることを目指します。
7.まとめ
今回の記事では、AWS社とTISで開催したセキュリティインシデントワークショップについてと、ワークショップ内容を踏まえて今後SIEMをどのように活用していこうと考えているかについて記載しました。
まず今回開催したワークショップについて、4項に記載した実施効果も踏まえて以下のような方にお勧めだと思いました。
- SIEMの導入に興味のある方
- OpenSearch Serviceダッシュボードを活用した分析手法について知りたい方
- AWSを活用したシステム開発・運用・保守に携わっている方
本ワークショップに少しでも興味を持っていただけた方がいらっしゃいましたら是非参加してみてください。
また、今後我々のチームでは6項に記載した通り、「機能面」「運用面」それぞれの課題を対応し、SIEMをセキュリティ対策の中軸として活用していくことに加え、将来的にはSOAR(Security Orchestration, Automation, and Response)や生成AIなどを活用して、より高度な運用を実現することによって、全てのお客様がPAYCIERGEを安心してご利用頂けるよう活動を進めてまいります。
著:PAYCIERGE基盤担当チーム
(TIS株式会社 ペイメントサービスユニット ペイメントプラットフォームサービス部 野澤 祐介)